さまざまな業態の事業をスピード感持って展開するDeNA。そうした事業を安全に推進する上で重要になってくるのがセキュリティポリシーです。
徹底した事業部目線でビジネスの実態に即したセキュリティポリシーの策定・運用を行い、DeNAの事業推進を支えているのが、セキュリティ推進グループ。
”事業のアクセル”となるべく、セキュリティポリシーのアップデートを担当する岡村 隆行(おかむら たかゆき)と、ポリシーの運用状況をモニタリングする村上 麻利子(むらかみ まりこ)が、グループポリシー運用のキモと信念を語ります。
目次 [隠す]
主体的にビジネスを推進する仕事の魅力
村上 麻利子(以下、村上):岡村さん、今日はよろしくお願いします! ふだん隣の席で仕事をしている岡村さんと私で改まって対談するなんて、不思議な感じですね。
2009年野村総合研究所に入社。運用監視ツールの開発・導入を担当。2014年にNRIセキュアテクノロジーズへ出向。webアプリケーションのセキュリティ診断や標的型攻撃メール訓練の業務を担当。2016年インターネットベンチャー企業への転職を経て2018年DeNA入社。一貫してGISPモニタリングを推進中。
岡村 隆行(以下、岡村):少し照れますよね(笑)。
今回、私たちがこの「モノづくり対談」シリーズに呼ばれたからには「主体的にビジネスを推進できるDeNAセキュリティ推進グループの魅力」を思う存分、伝えたいなと思っているんです。
村上:それはぜひ伝えたいですね!
岡村:私は入社前、保険会社などで、セキュリティポリシーを策定・アップデートする仕事をしていました。金融庁から出ている保険会社向けの総合的な監督指針(※1)、経済産業省から出ているサイバーセキュリティ経営ガイドライン(※2)、個人情報保護法令・ガイドライン(※3)等に書かれているような内容を応用して作っていたんです。
保険会社は金融庁からの検査・監督を受けることから、金融分野における指針やガイドライン等に沿ったセキュリティポリシーのアップデートが中心となる傾向にあります。
それに対して、DeNAは既存の事業もゲームからAI、ヘルスケアと多岐にわたりますし、新規事業も多くスタートするので、個別の事業を理解したポリシーを策定・アップデートしてく必要があります。そこに、難しさとやりがいを感じますね。
※1……https://www.fsa.go.jp/common/law/guide/ins/index.html
※2……https://www.meti.go.jp/policy/netsecurity/mng_guide.html
※3……https://www.ppc.go.jp/personalinfo/legal/
村上:私はDeNA入社以前、コンサルティング会社にいたのですが「提案まではするけれどもその改善内容を実行するか」はクライアントである事業会社次第なところが歯がゆかったんです。実際にその改善内容を実行しても、私はその結果を見ることもできませんし。
DeNAではポリシーの策定から実行・定着までセキュリティ部と部署が一緒になって推進できることに、とてもやりがいを感じますね。
私はモニタリングを担当する中で、セキュリティをアップデートしていく岡村さんと一緒に動くことも多いですし、事業部の方もかなり協力的で、とても仕事がやりやすいと思っています。
現場で使えないと意味がない。ヒアリングを重視する理由
村上:岡村さんは今、グループ内のセキュリティポリシーであるGISP(※4)をアップデートする業務を担う中で、DeNAならではといった醍醐味を感じるのはどのような点ですか?
※4……Group Information Security Policy
ITベンダー、リスクマネジメントコンサル、生命保険会社で幅広くセキュリティ業務に携わった後、2019年2月にDeNAに入社。現在は、DeNAグループにおけるセキュリティ態勢を設計し、必要な施策の導入を推進している。
岡村:やはり、自らDeNAのビジネスに即したセキュリティポリシーのアップデートを担える点と、事業部側もセキュリティに理解があり一緒に推進できる点ですね。
一般的な会社では、「個人情報保護法に代表される法令やガイドライン等を見て、そのまま自社のポリシーに落とし込んでいく」ところも多いのでは、と思います。しかしDeNAでは事業が多岐に渡り変化のスピードも速いため「ビジネスの実態に即したセキュリティポリシーの策定」を重視しているんです。
村上:岡村さんは、ポリシーアップデート前によく事業部の方に現在の状況をヒアリングされていますよね。
岡村:はい。DeNAではセキュリティポリシーをアップデートしていく際には、素案を作った後、主要な事業部へのヒアリングと、全事業部を対象にした意見募集(パブリックコメント)を行なっています。
素案づくりは日本の法令やガイドラインだけではなく、米国のセキュリティフレームワークなどを読み込んでいます。DeNAのビジネスと照らし合わせながら、カスタマイズして入れ込んでいく形ですね。
世の中にあるひな形みたいなものをそのまま持ってきてもDeNAの実業務では過剰だったり不足していたりすることも多々あります。そのようなポリシーは結局形だけでちゃんと運用されないと思うんです。
なので、それぞれの業務がどうなっているか現場に行って細かくビジネス実態のヒアリングを行い、ポリシーに落とし込んで行く必要があるんですよね。DeNAは事業部が多く、全員にヒアリングに行くことは難しいので、全従業員から意見を投げ込んでもらえる方法にもしているんですよ。
村上:ポリシーが現場の実務に即していなくて押しつけるような形で展開されると、事業部の方もポリシーを守ったビジネスの推進ができない。事業部の方としっかりコミュニケーションを取って連携していくのは、大切ですね。
「正しく把握・助言する」ためにモニタリング自動化も
岡村:そして、策定されたセキュリティーポリシーが浸透しているかどうかモニタリングしていくのが村上さんの担当領域ですね。実際にはどのように業務を進めていますか?
村上:私もやはり、部署の方と直接会ってお話しすることを重視しています。
自席でコンピューターの画面をずっとチェックしているというよりは、直接部門の担当者と会ってチェックリストに応じた質問をして、回答してもらっているんですね。
岡村:結構な数のモニタリングを実施しましたよね。
村上:昨年度までの3年間では、全65サービスのモニタリングを実施しました。今年度からは、対象範囲の見直しもあって、3年間で約120サービスのモニタリングを実施する計画です。担当メンバーが2名で、これを手分けして実施していくのですが、新規サービスや、業務やシステムの変更でリスクが大きくなったり変動があったりするところを優先して回っていきます。
岡村:直接会うことは大事ですよね。しかし、かなりの時間を要していますよね。
村上:そうなんです。過去3年間の実績では、全サービスのモニタリングにかかる工数は800人/日ほど!これはセキュリティ部側から見た工数なので、事業部側の工数を含めると、全体ではもっとかかっていることになります。
岡村:必要な時間であるとは言え、総計で考えればかなりの時間になりますね。同じ目的を達成できるなら、時間は短縮できたほうが事業の推進スピードは上がる。そのためにも、世間的にも珍しい「モニタリングの自動化」に取り組んでいますよね。
村上:まさにその通りです。モニタリングでやりたいことは「事業の推進をアシストするために現場がやっている内容を正しく把握して、正しく助言する」こと。
事業部側の工数を下げて、同じ目的を実現する方法があればそれがベストですよね。
セキュリティ部の技術チームに協力してもらい、システム的に確認できるものは、ヒアリングではなく、そちらで確認できるように進めています。場合によってはそちらの方が効率的ですし、担当者が回答するより正確なこともあります。
岡村:読者の方に伝えられるといいなと思いますが、自動化を進めている内容を具体的に話せますか?
村上:たとえばシステム上「開けていいポート」と「閉じていなければならないポート」があったとしますよね。
今までだと、ヒアリングで担当者に「必要なポートのみ開けているか」を聞いていたところを、現在では開いているポートの確認と自動通知の仕組みを入れていて、不要と思われるポートが開いている場合は、直接担当者に連絡がいくようになっています。
他にも、AWSのIAMユーザのMFA設定がされているかなど、システム的に確認可能なものの実装を進めていますね。
岡村:正しく把握して事業部に助言できればいいよね。お互いの工数が少なくなって正しくフィードバックできるのが最も良いですね。
ちなみに、モニタリングの結果を見て、「今のセキュリティポリシーは現場に合っていないかも」と思い、ポリシーのアップデートを検討することもありますね。
「事業部の裁量でできるレベル」を示す
村上:そうなんですよね。事業部の工数削減のためには自動化も、という話をしましたが、事業部とのコミュニケーションはとても大事にしてます。
岡村:コミュニケーションをしっかり取ることは本当に大事ですよね。コミュニケーションを取る上で大切にしていることは何かありますか?
村上:月並みですが、相手のことをよく知るということかなと思います。モニタリングの場合だと、事業部の状況や、その事業の特性をできるだけ理解しようと努めています。これを知らないと、正しい評価ができないので。
たとえば、複数の部門で同じような事象があったとして、あるサービスでは低リスクだったのに別のサービスでは高リスク、ということもありますから。
単純にチェックリストに記入して返してもらう形だと、回答以外のことがまったく見えません。ヒアリングで「実はこれ、できていないんです」という調査項目以外のことがわかったり、他の部門で確認した方が良いようなことが分かったりします。
岡村さんは何かありますか?
岡村:他の企業だと僕のような仕事をコンサルが入って支援していることが多いのだけれど、DeNAはセキュリティポリシーの設計からチェックまでも内製化しています。だからこそ、案を作って押し切るのではなく、それを受けて現実的に運用できるのか、できなければ何か代替案があるのかまでを一緒に考えています。
村上:そうですよね。事業部が気持ちよくビジネスできないと意味ありませんよね。
岡村:コンプライアンスのために事業部に必要以上の足かせをはめるセキュリティポリシーを作るのでは意味がないと思います。
ポリシーを作って運用する中で「事業部の裁量でできる」レベルを事業部の方に示すことで、思う存分腕を振るって欲しい。
村上:そうですよね。「セキュリティ部門は事業部の方を向いてコミュニケーションを取るのが大きな仕事」だと思っています。
変化に合わせ、ポリシーも自らも常にアップデート
村上:これからのセキュリティ部はどうなっていったら良いと思いますか?
岡村:私は、各事業部が自分たちで判断できる領域が広くなるよう、セキュリティ部としては日々啓蒙できれば、と思っています。
村上:へえ!どうしてですか?
岡村:通常、何かキャンペーンやビジネス上の施策を実施したいとなると、僕たちが様々なセキュリティをチェックした後に、ようやく実際に動けるようになりますよね。
それではスピードが遅いと思う時があります。リスクの大きさにもよりますが、わかりやすいガイドラインのようなものでセキュリティ上のリスクとその対応方法を事業部が理解してビジネスの意思決定ができるよう支援できればいいですよね。
ヘルスケアではそういう動きを始めだしました。取り組みが進んで方法が確立したら様々な部門に広げて行きたいし、そういう支援ができる部門でありたいと思っていますね。
村上さんはセキュリティ部で一緒に働ける人が新しく入るとしたらどんな人がいいですか?
村上:事業部の活動を支援する部門だという前提を理解して、その目的に向けて自発的に動ける人がいいですね。
セキュリティ部長の茂岩さんも「セキュリティは事業会社のブレーキではない。アクセルの役目を果たすべき」とよく言っていて、その考え方はセキュリティ部内に浸透していますよね。
モニタリングという仕事からすればポリシーを守ってもらうのがベストですけれど、守れないときに「守ってください!」というだけでは進展がありませんから。
岡村:セキュリティポリシーは「一度作って終わり」ではない。会社や世の中の変化に合わせてベストなことも変わってくるので、それに合わせてアップデートしていかなければいけないわけです。そういう変化を自分で見定めながら、自律して考えて提案してくれる人と仕事したいですね!
※本記事掲載の情報は、公開日時点のものです。
執筆:奥野 大児 編集:榮田 佳織・栗原 ひろみ 撮影:小堀 将生
■こちらの記事も読まれています
